Kompanija Kaspersky Lab objavila je danas novi izveštaj koji je identifikovao neuhvatljivu kampanju sajber špijunaže koja je skoro pet godina napadala diplomatske, vladine i naučno-istraživačke organizacije iz nekoliko zemalja. Ova kampanja je pre svega bila usmerena ka zemljama u istočnoj Evropi, bivšim SSSR republikama i zemljama u centralnoj Aziji, iako je žrtve moguće pronaći svuda, obuhvatajući zapadnu Evropu i Severnu Ameriku. Glavni cilj napadača bio je prikupljanje osetljivih dokumenata iz ugroženih organizacija, među kojima i geopolitičke informacije, poverljive podatke za pristup tajnim računarskim sistemima, kao i podatke iz ličnih mobilnih uređaja i mrežne opreme.

U oktobru 2012. tim stručnjaka kompanije Kaspersky Lab pokrenuo je istragu nakon niza napada na računarske mreže koji su za cilj imali međunarodne diplomatske agencije. Mreža velike sajber špijunaže otkrivena je i analizirana tokom istrage. Prema analitičkom izveštaju kompanije Kaspersky Lab, operacija „Crveni oktobar“ (Red October), skraćeno „Rocra“, još uvek je aktivna a traje čak od 2007. godine.

Napredna mreža kampanje „Crveni oktobar“: Napadači su bili aktivni još od 2007. godine i pored istraživačkih institucija, energetskih i nuklearnih kompanija, i ciljeva u trgovini i avio-industriji, bili su usmereni ka diplomatskim i vladinim agencijama iz različitih zemalja širom sveta. Napadači operacije „Crveni oktobar“ osmislili su sopstveni štetni softver, poznat kao „Rocra“, koji ima svoju jedinstvenu modularnu arhitekturu sastavljenu od štetnih ekstenzija, modula za krađu informacija i špijunskih Trojanaca.

Napadači su često koristili informacije ukradene iz zaraženih mreža kako bi ušli u nove sisteme. Na primer, ukradeni poverljivi podaci skupljeni su u listu i korišćeni kada su napadači morali da pogode lozinke ili fraze za pristup drugim sistemima.

Da bi kontrolisali mrežu zaraženih kompjutera, napadači su stvorili više od 60 domenskih imena i nekoliko lokacija za hosting servera u različitim zemljama, većinom u Nemačkoj i Rusiji. Analiza komandne i kontrolne (C2) infrastrukture operacije Rocra, koju je obavila kompanija Kaspersky Lab, pokazuje da je lanac servera zapravo radio kao posrednik u cilju skrivanja lokacije glavnog kontrolnog servera.

Informacije ukradene iz zaraženih sistema obuhvataju dokumente sa ekstenzijama: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Konkretno, ekstenzija „acid*“ izgleda da se odnosi na tajni softver „Acid Cryptofiler“, korišćen od strane više subjekata, od Evropske unije do NATO-a.

Na osnovu registracionih podataka sa C2 servera i brojnih artefakata ostavljenih u izvršnim datotekama štetnog softvera, postoje jaki tehnički dokazi koji pokazuju da napadači dolaze sa ruskog govornog područja.